无线局域网(Wireless Local Area Network,WLAN)具有可移动性、装置简略、高灵活性和扩展才干,作为对传统有线网络的延伸,在许多特别环境中得到了广泛的运用。跟着无线数据网络处理计划的不断推出,“不管您在任何时刻、任何地址都能够轻松上网”这一方针被轻松完成了。
因为无线局域网选用公共的电磁波作为载体,任何人都有条件偷听或搅扰信息,因而对越权存取和偷听的行为也更不简略防范。在2001年拉斯维加斯的黑客会议上,安全专家就指出,无线网络将成为黑客进犯的另一块热土。一般黑客的东西盒包含一个带有无线网卡的微机和一片无线网络勘探卡软件,被称为Netstumbler(下载)。因而,咱们在一开始运用无线网络时,就应该充分考虑其安全性。常见的无线网络安全技能有以下几种:
服务集标识符(SSID)
经过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线作业站出示正确的SSID才干拜访AP,这样就能够答应不同群组的用户接入,并对资源拜访的权限进行差异约束。因而能够以为SSID是一个简略的口令,然后供给必定的安全,但假如装备AP向外播送其SSID,那么安全程度还将下降。因为一般情况下,用户自己装备客户端体系,所以很多人都知道该SSID,很简略同享给不合法用户。现在有的厂家支撑任何(ANY)SSID办法,只需无线作业站在任何AP规模内,客户端都会主动衔接到AP,这将越过SSID安全功用。
物理地址过滤(MAC)
因为每个无线作业站的网卡都有仅有的物理地址,因而能够在AP中手艺维护一组答应拜访的MAC地址列表,完成物理地址过滤。这个计划要求AP 中的MAC地址列表必需随时更新,可扩展性差;并且MAC地址在理论上能够假造,因而这也是较低等级的授权认证。物理地址过滤归于硬件认证,而不是用户认证。这种办法要求AP中的MAC地址列表必需随时更新,现在都是手艺操作;假如用户添加,则扩展才干很差,因而只适合于小型网络规划。
连线对等保密(WEP)
在链路层选用RC4对称加密技能,用户的加密密钥有必要与AP的密钥相一起才干获准存取网络的资源,然后避免非授权用户的监听以及不合法用户的拜访。WEP供给了40位(有时也称为64位)和128位长度的密钥机制,可是它依然存在许多缺陷,例如一个服务区内的一切用户都同享同一个密钥,一个用户丢掉钥匙将使整个网络不安全。并且40位的钥匙在今日很简略被破解;钥匙是静态的,要手艺维护,扩展才干差。现在为了进步安全性,主张选用128位加密钥匙。
Wi-Fi维护接入(WPA)
WPA(Wi-Fi Protected Access)是承继了WEP基本原理而又处理了WEP缺陷的一种新技能。因为加强了生成加密密钥的算法,因而即使收集到分组信息并对其进行解析,也简直无法计算出通用密钥。其原理为依据通用密钥,合作表明电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP相同将此密钥用于RC4加密处理。经过这种处理,一切客户端的一切分组信息所交流的数据将由各不相同的密钥加密而成。不管收集到多少这样的数据,要想破解出原始的通用密钥简直是不可能的。WPA还追加了避免数据半途被篡改的功用和认证功用。因为具有这些功用,WEP中此前倍受责备的缺陷得以悉数处理。WPA不仅是一种比WEP更为强壮的加密办法,并且有更为丰厚的内在。作为802.11i规范的子集,WPA包含了认证、加密和数据完好性校验三个组成部分,是一个完好的安全性计划。
国家规范(WAPI)
WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网辨别与保密根底结构,它是针对IEEE802.11中WEP协议安全问题,在我国无线局域网国家规范 GB15629.11中提出的WLAN安全处理计划。一起本计划已由ISO/IEC授权的组织IEEE Registration Authority查看并取得认可。它的首要特点是选用依据公钥暗码体系的证书机制,真实完成了移动终端(MT)与无线接入点(AP)间双向辨别。用户只需装置一张证书就可在掩盖WLAN的不同区域周游,便利用户运用。与现有计费技能兼容的服务,可完成准时计费、按流量计费、包月等多种计费办法。AP设置好证书后,无须再对后台的AAA服务器进行设置,装置、组网快捷,易于扩展,可满意家庭、企业、运营商等多种运用形式。
端口拜访操控技能(802.1x)
该技能也是用于无线局域网的一种增强性网络安全处理计划。当无线作业站STA与无线拜访点AP相关后,是否能够运用AP的服务要取决于802.1x的认证成果。假如认证经过,则AP为STA翻开这个逻辑端口,不然不答运用户上网。802.1x要求无线作业站装置802.1x客户端软件,无线拜访点要内嵌802.1x认证署理,一起它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除供给端口拜访操控才干之外,还供给依据用户的认证体系及计费,特别适合于公共无线接入处理计划。
无线局域网安全防范措施
1.选用端口拜访技能(802.1x)进行操控,避免非授权的不合法接入和拜访。
2.选用128位WEP加密技能,并不运用产商自带的WEP密钥。
3.关于密度等级高的网络选用VPN进行衔接。
4.对AP和网卡设置杂乱的SSID,并依据需求确认是否需求周游来确认是否需求MAC绑定。
5.制止AP向外播送其SSID。
6.修正缺省的AP暗码,Intel的AP的默许暗码是Intel。
7.安置AP的时分要在公司工作区域以外进行查看,避免AP的掩盖规模超出工作区域(难度比较大),一起要让保安人员在公司邻近进行巡查,避免外部人员在公司邻近接入网络。
8.制止职工私自装置AP,经过便携机装备无线网卡和无线扫描软件能够进行扫描。
9.假如网卡支撑修正特点需求暗码功用,要敞开该功用,避免网卡特点被修正。
10.装备设备查看不合法进入公司的2.4G电磁波发生器,避免被搅扰和DOS
11.拟定无线网络办理规则,规则职工不得把网络设置信息告知公司外部人员,制止设置P2P的Ad hoc网络结构
12.盯梢无线网络技能,特别是安全技能(如802.11i对密钥办理进行了规则),对网络办理人员进行常识培训。
